什么是 Microsoft Entra ID 中的登录诊断?
确定登录失败原因可能会迅速成为一项具有挑战性的任务。 需要分析登录尝试期间发生的情况,并研究可用的建议来解决问题。 理想情况下,你希望能够自行解决问题,而无需 Microsoft 支持人员等其他人的帮助。 如果遇到这种情况,可以使用 Microsoft Entra ID 中的登录诊断,该工具可帮助调查 Microsoft Entra ID 中的登录情况。
本文概述登录诊断的定义以及如何使用登录诊断来解决与登录相关的错误。
先决条件
若要使用登录诊断:
- 你必须至少以“全局读取者”身份登录。
- 使用正确的访问级别,可以从多个位置启动登录诊断。
- 还可以从登录诊断中查看已标记的登录事件。
- 用户在其登录体验期间启用标记后,系统将捕获已标记的登录事件。
- 有关详细信息,请参阅已标记的登录。
工作原理
在 Microsoft Entra ID 中,登录尝试由以下项控制:
- 谁执行了登录尝试。
- 执行登录尝试的方式。
例如,可以配置条件访问策略,使管理员能够在从公司网络登录时配置租户的所有方面。 但是,当同一用户从不受信任的网络登录同一帐户时,可能会遭到阻止。
由于系统可以更灵活地响应登录尝试,因此可能最终需要解决登录问题。登录诊断是一种工具,旨在通过以下方式自助诊断登录问题:
- 分析来自登录事件和已标记登录的数据。
- 显示有关所发生情况的信息。
- 提供解决问题的建议。
从“诊断并解决问题”访问
可以从 Microsoft Entra ID 的“诊断并解决问题”区域启动登录诊断。 在“诊断和解决问题”中,可以查看任何已标记的登录事件或搜索特定的登录事件。 也可以从“条件访问诊断和解决问题”区域启动此进程。
提示
本文中的步骤可能因开始使用的门户而略有不同。
至少以全局读者身份登录到 Microsoft Entra 管理中心。
浏览到“学习和支持”>“诊断并解决问题”或“保护”“条件访问”>“诊断并解决问题”。
选择“登录诊断”磁贴上的“故障排除”链接。
选择“所有登录事件”选项卡以开始搜索。
在搜索字段中输入尽可能多的详细信息。
- 用户:提供登录尝试者的姓名或电子邮件地址。
- 应用程序:提供应用程序显示名称或应用程序 ID。
- correlationId 或 requestId:可在错误报表或登录日志详细信息中找到这些详细信息。
- 日期和时间:提供用于查找 48 小时内发生的登录事件的日期和时间。
选择“下一步”按钮。
浏览结果并根据需要采取措施。
从登录日志访问
可以从登录日志中的特定登录事件启动登录诊断。 从特定登录事件启动进程后,诊断将立即启动。 系统不会提示你先输入详细信息。
浏览到“标识”>“监视和运行状况”>“登录日志”并选择登录事件。
- 可以筛选列表,以便更轻松地查找特定登录事件。
在打开的“活动详细信息”窗口中,选择“启动登录诊断”链接。
浏览结果并根据需要采取措施。
从支持请求访问
如果你正在创建支持请求,并且所选选项与登录活动相关,系统会提示你在支持请求进程中运行登录诊断。
浏览到“诊断并解决问题”。
根据需要选择相应的字段。 例如:
- 服务类型:Microsoft Entra 登录和多重身份验证
- 问题类型:多重身份验证
- 问题子类型:由于 MFA 问题,无法登录到应用程序
浏览结果并根据需要采取措施。
如何使用诊断结果
登录诊断完成搜索后,屏幕上会显示一些内容:
“身份验证摘要”列出了与你提供的详细信息匹配的所有事件。
- 选择摘要右上角的“查看列”选项以更改显示的列。
“诊断结果”描述了登录事件期间发生的情况。
方案可能包括条件访问策略的 MFA 要求、可能需要应用条件访问策略的登录事件,或过去 48 小时内大量失败的登录尝试。
可能会提供故障排除工具的相关内容和链接。
通读结果以确定可以执行的任何操作。
由于并非总是可以在不借助其他帮助的情况下解决问题,因此可能建议创建支持工单。
提供有关结果的反馈,以帮助改进该功能。